Windows Client
GPO: Audit Account Lockout
Door het auditbeleid Account Lockout te activeren ontstaat een gedetailleerd spoor dat elke mislukte aanmeldpoging, lockoutactie en vrijgave koppelt aan bronhosts, betrokken beheerders en nauwkeurige tijdstempels. Hierdoor kunnen brute-force patronen, misbruik van gedeelde accounts en menselijke fouten snel worden onderscheiden zonder ruwe logbestanden handmatig te analyseren. Voor Nederlandse overheidsorganisaties binnen de Nederlandse Baseline voor Veilige Cloud vormt deze auditstroom de basis voor forensisch onderzoek, naleving van BIO-controles en een volwassen dienstverlening richting eindgebruikers. Wanneer servicedesks direct kunnen terugzien welke combinatie van werkstation, protocol en identiteit een blokkade veroorzaakte, verkleint de druk op tweedelijnsteams en kunnen accounts gericht worden gedeblokkeerd binnen minuten in plaats van uren. Tegelijkertijd ontstaat een betrouwbare trendanalyse waarmee structurele wachtwoordproblemen, onveilige configuraties of verdachte uitwijklocaties vroegtijdig worden vastgesteld, zodat bestuurders onderbouwde besluiten nemen over aanvullende maatregelen zoals meervoudige authenticatie, netwerksegmentatie of verscherpte toegangscontroles.
GPO: Audit Credential Validatie
Deze richtlijn beschrijft hoe Nederlandse overheidsorganisaties met behulp van Group Policy Object (GPO) auditing iedere poging tot aanmelding kunnen vastleggen, inclusief geslaagde en mislukte validaties, zodat credential-gebaseerde aanvallen tijdig zichtbaar worden. Door alle gebeurtenissen rond authenticatie consequent te loggen ontstaat een reconstructeerbaar spoor dat weergeeft welke identiteit wanneer, vanaf welk systeem en met welk protocol toegang probeerde te krijgen. Dit auditspoor is onmisbaar bij dreigingsanalyse, forensisch onderzoek en het aantonen van naleving van de Baseline Informatiebeveiliging Overheid (BIO) en andere toezichteisen.
GPO: Deny Toegang Tot Deze Computer Van De Network
Het weigeren van netwerktoegang voor lokale accounts vormt een van de meest directe manieren om de laterale bewegingsruimte van aanvallers in een Windows-domein te beperken. Zodra een kwaadwillende een werkplek weet te compromitteren wordt het lokale beheerdersaccount vaak als eerste doelwit, omdat verouderde procedures nog te vaak hetzelfde wachtwoord op honderden apparaten hergebruiken. Door de toegangsrechten van deze accounts exclusief te beperken tot interactieve sessies op het eigen device, neemt het aanvalsoppervlak voor Pass-the-Hash, Pass-the-Ticket en SMB-relay scenario's drastisch af en wordt de basis gelegd voor een Zero Trust-architectuur die aansluit bij de Nederlandse Baseline voor Veilige Cloud.
GPO: Weiger Aanmelding Als Batchtaak
Het weigeren van aanmelding als batchtaak voor gevoelige accounts zoals Domain Admins en Enterprise Admins vormt een essentiële beveiligingsmaatregel die privilege escalation via geplande taken voorkomt.
GPO: Deny Loggen Op As Een Service
Het beleid "Deny logon as a service" is ontworpen om te voorkomen dat hooggeprivilegieerde accounts worden misbruikt voor het installeren van kwaadaardige Windows-services die automatisch starten en volledige systeemrechten verkrijgen.
GPO: Deny Loggen Op Via Remote Desktop Services
Het blokkeren van Remote Desktop Protocol-aanmeldingen voor specifieke accounts voorkomt laterale beweging door aanvallers via RDP. Deze maatregel is essentieel voor het beschermen van domeinbeheerders tegen credential theft.
GPO: Dwing Af Password History
Het afdwingen van wachtwoordgeschiedenis vormt een van de eenvoudigste maar meest effectieve verdedigingslinies tegen het hergebruik van gecompromitteerde aanmeldgegevens binnen Nederlandse overheidsorganisaties. Door bij elke wijziging minimaal vierentwintig eerdere wachtwoorden te onthouden, wordt het patroon doorbroken waarbij gebruikers consequent terugvallen op bekende varianten zodra een nieuwe rotatiecyclus ingaat. Het beleid zorgt ervoor dat wachtwoordwijzigingen daadwerkelijk leiden tot unieke geheimen, waardoor credentials die mogelijk in oude phishingcampagnes of datalekken zijn buitgemaakt hun waarde verliezen. Door in alle domeinen dezelfde beleidsinstelling via Group Policy of Azure Active Directory toe te passen, ontstaat een uniforme basis waarin werkstations, servers, beheeraccounts en dienstaccounts dezelfde regels volgen. Zo ontstaat een cultuur waarin gebruikers al bij de onboarding begrijpen dat wachtwoordbeheer een zorgvuldig gecontroleerd proces is en waarin beheerders vertrouwen op aantoonbare instellingen in plaats van vrijblijvende gedragsafspraken.
GPO: Windows Firewall Domain Profile Ingeschakeld
Het Windows Defender Firewall-domeinprofiel zorgt ervoor dat iedere werkplek die een domeincontroller detecteert automatisch overschakelt naar een streng inbound-deny beleid, ook wanneer de verbinding via een vertrouwd kantoornetwerk of een VPN-tunnel loopt. Daarmee blijft het Zero Trust-principe intact: een intern netwerk krijgt nooit het voordeel van de twijfel.
GPO: Windows Firewall Private Profile Ingeschakeld
De Windows Defender Firewall in het private profiel beschermt mobiele werkplekken tegen ongewenste inkomende verbindingen zodra een gebruiker een thuis- of anderszins vertrouwd netwerk selecteert, waardoor overheidsdata ook buiten kantoorgrenzen worden bewaakt.
GPO: Windows Firewall Public Profile Ingeschakeld
Activeer het openbare firewallprofiel op iedere Windows laptop zodra het apparaat een onbekend netwerk detecteert, zodat de firewall fungeert als eerste verdedigingslinie tegen ongecontroleerd inkomend verkeer op luchthavens, hotels en andere publieke locaties.
GPO: Interactive Logon - Don't Display Last User
Een modern Windows-inlogscherm hoort neutraal te zijn en geen aanwijzingen te geven over wie er voor het laatst heeft gewerkt op het apparaat. Door de naam van de vorige gebruiker te verbergen, doorbreken organisaties het patroon waarbij aanvallers met een simpele blik al de helft van de inlogpuzzel oplossen. Deze maatregel creëert een cultuur waarin elke sessie begint met dezelfde hoge drempel: gebruikers voeren altijd zowel hun gebruikersnaam als wachtwoord volledig in, zonder visuele hints of automatisch ingevulde velden.
GPO: Maximum Password Age
Een maximumleeftijd voor wachtwoorden bepaalt hoe lang een gebruiker dezelfde inloggegevens mag blijven gebruiken voordat een wijziging wordt afgedwongen, maar het instrument levert alleen waarde wanneer het doelbewust en gedocumenteerd wordt ingezet.
GPO: Minimum Wachtwoordlengte
Een modern wachtwoordbeleid begint met een stevig fundament: voldoende lengte. In Nederlandse overheidsorganisaties circuleren duizenden accounts met uiteenlopende bevoegdheden, van generieke werkplekken tot beheerders van essentiële infrastructuur. Elk van deze identiteiten vormt een aantrekkelijk doelwit voor criminelen die geautomatiseerde tools inzetten om wachtwoorden te raden en buitgemaakte hashes binnen minuten te kraken. Door de minimum wachtwoordlengte structureel te verhogen naar veertien tekens of meer, wordt de rekenkundige barrière voor aanvallers exponentieel groter en wordt gebruikersgedrag automatisch naar langere wachtwoordzinnen of het gebruik van een wachtwoordmanager gestuurd. Deze maatregel is goedkoop, snel te implementeren en sluit naadloos aan bij de Nederlandse Baseline voor Veilige Cloud, waardoor hij een logische eerste verdedigingslinie vormt tegen inbraakpogingen op authenticatiesystemen.
GPO: Network Access - Restrict Remote Registry Paths
Het beperken van op afstand toegankelijke registerpaden via Group Policy Object (GPO) is een essentiële beveiligingsmaatregel die voorkomt dat aanvallers via remote registry queries gevoelige systeeminformatie kunnen verzamelen. Deze maatregel minimaliseert het aanvalsoppervlak door alleen de minimaal benodigde registerpaden beschikbaar te stellen voor externe toegang, waardoor reconnaissance-activiteiten worden beperkt en de beveiligingspostuur van Windows-systemen aanzienlijk wordt verbeterd.
GPO: LAN Manager Authentication Level
Het beleid Network security: LAN Manager authentication level dwingt Windows-clients en -servers binnen de Nederlandse Baseline voor Veilige Cloud om uitsluitend moderne NTLMv2-uitwisselingen te accepteren en blokkeert bewust alle LM- en NTLMv1-verzoeken die nog vanuit legacy systemen kunnen verschijnen.
GPO: Wachtwoordcomplexiteit Ingeschakeld
Wachtwoordcomplexiteit vormt in de Nederlandse Baseline voor Veilige Cloud de eerste verdedigingslinie tegen het misbruik van gestolen of geraden accounts, omdat iedere gebruiker wordt gedwongen om hoofdletters, kleine letters, cijfers en symbolen te combineren in plaats van voorspelbare woorden te herhalen.
GPO: Schakel Uit Shutdown Zonder Logon
De instelling "Shutdown without logon" lijkt op het eerste gezicht een klein detail in het Windows-aanmeldscherm, maar bepaalt in werkelijkheid of iedereen met fysieke toegang het systeem zonder enige verantwoording kan stilleggen. Door deze mogelijkheid uit te schakelen, dwing je authentieke aanmeldingen af, behoud je zicht op wie afsluitacties uitvoert en voorkom je dat onbevoegden servers, beheerde werkstations of kiosken simpelweg uitzetten om hun sporen te wissen. Vooral in datacenters en gemeentelijke serverruimtes waar meerdere teams toegang delen, voorkomt de maatregel ongeoorloofde onderhoudsacties of sabotage die kritieke dienstverlening richting burgers kan onderbreken. Bovendien sluit deze instelling rechtstreeks aan op de principes van de Nederlandse Baseline voor Veilige Cloud, omdat fysieke beïnvloeding nog altijd een populaire laatste stap blijft bij ransomware-operators die back-upketens willen ontregelen.